[Solaris]

Citat:

Ursprungligen postat av Wijk

Solaris (nytt nick?) här på WN har skapat en tjänst som kan vara intressant för dig. Jag har själv inte testat, mer skummat igenom tråden och hemsidan, imponerande projekt dock.

http://www.wn.se/t1045096.html

Hehe, tack för omnämnandet.

On Topic.

Generellt sätt på statiska HTML-sidor så är det rätt svårt att göra rena intrång. Det finns begränsat med funktionalitet på sidorna, och därmed också begränsade angreppsmetoder. Ifall du har ett uppdaterat AV, vettigt lösenord på din FTP och en ren HTML-sida är det väldigt svårt att som angripare göra något vettigt utav den.

Skulle väl eventuellt vara ifall angriparen rotar servern och får tillgång till alla hemsidor som hostas på den, eller att en angripare kommer åt DNS servrarna och pekar om dem till sina egna domäner.

Däremot när vi kommer till lite mer dynamiska sidor, och börjar blanda in databaser, då får man passa sig. Det finns en hel del att läsa om bland annat XSS, CSRF och SQL-injections. Spontana tips är väl följande.

Se till att köra htmlentities på alla din GET-variabler.
Använd gärna PDO när du blandar in SQL (Då slipper du dessutom tjafs som att escapa och ta bort slashtecken i variablerna).
Kontrollera så att rätt indata matas in, kan kännas överflödigt. Men ett ID ska bara ha ett ID och inte något annat, även om du filtrerar ut eventuella XSS-attacker genom htmlentities så kan man fortfarande mata in data genom HEX-värden.
Se till att när du inkluderar saker så ska du försäkra dig om att de saker du inkluderar enbart bör ligga lokalt på server. Läs närmare på om RFI (Remote File Inclusion).

Sen kan man fördjupa sig otroligt mycket inom detta område, man kan gå extremt långt i ens säkerhet.

P.S - Salta alla lösenorden som sparas i databasen (gärna unika salter)